108012
Goto Top

PfSense Repository für Version 2.3.x

Hallo,

eventuell ist es Euch auch schon aufgefallen dass vor rund ~90 Tagen der Wechsel Version 2.3.4_p1 vollzogen
wurde und nun die Version 2.4.0 fertig ist. Und viele Leute von Euch setzen pfSense in produktiven Umgebungen
ein die mit unter eine längere Testphase der neueren und neusten Version erst einmal abwarten wollen, bevor Sie
updaten und/oder upgraden werden. Hierzu bzw. hierauf bezieht sich die kleine Information von mir.

Wenn Ihr also auf Eurer pfSense Installation folgende Warnung seht:

WARNING: Current pkg repository has a new OS major version.
pfSense should be upgraded before doing any other
operation Failed


Sollte man die folgenden Einstellungen vornehmen:
System > Update Settings > Branch
(Wechselt bitte von "stable" zu "Security/Errata only (2.3.x))

Danach sind die Repositories wieder richtig eingestellt und man muss nicht upgraden und/oder die Version wechseln.

Gruß
Dobby

Content-ID: 352000

Url: https://administrator.de/contentid/352000

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

the-buccaneer
the-buccaneer 18.10.2017 um 01:59:33 Uhr
Goto Top
Danke!
Wenn das nur schon mit meiner geliebten 2.2.6 ginge...
Man kann nicht alles haben...

Buc
108012
108012 18.10.2017 um 02:16:25 Uhr
Goto Top
Was funktioniert denn nicht mit den späteren Versionen? Und welche Hardware setzte Du denn ein?
Gerade die hier sehr weit verbreiteten APU2C4 Board profitieren von der aktuellen Version 2.4.0 mehr
als alle anderen. Oder hast Du ein spezielles Setup mit HA oder anderen nicht alltäglichen Sachen.

Gruß
Dobby
117471
117471 18.10.2017 um 09:51:42 Uhr
Goto Top
Hallo,

Zitat von @the-buccaneer:

Wenn das nur schon mit meiner geliebten 2.2.6 ginge...

Tröste dich. Da die NanoBSD-Version eingestellt wurde, ist für mich auch bei der 2.3.x Schluss face-sad

Gruß,
Jörg
108012
108012 18.10.2017 um 13:36:27 Uhr
Goto Top
Tröste dich. Da die NanoBSD-Version eingestellt wurde, ist für mich auch bei der 2.3.x Schluss
Naja es ist ja nicht so das nur etwas fehlt oder weg ist, denn man hat dafür ARM Support erhalten und diesen will
man dann auch als ARM 64Bit erneuern und dort auch wieder den 32Bit Support einstellen. Und weil die Version 3.0
eben voll und ganz und von Grund auf neu geschrieben wird, ist auch NanoBSD weg gefallen, das kann aber auch
wieder mal zurück kommen, nur eben nicht in der Phase wo man die Version 3.0 noch komplett neu schreibt!

Man hätte dann also; (eventuell)
- ARM 64Bit
- x86 64Bit
- NanoBSD 64Bit

Damit kann man dann auch schon wieder richtig etwas anfangen.

Gruß
Dobby
117471
117471 18.10.2017 um 15:56:19 Uhr
Goto Top
Hallo,
Zitat von @108012:

Tröste dich. Da die NanoBSD-Version eingestellt wurde, ist für mich auch bei der 2.3.x Schluss

das kann aber auch wieder mal zurück kommen,

Das werde ich ja irgendwann merken face-smile

Allerdings finde ich es schon komisch, die 2.4 angeboten zu bekommen und dann im Rahmen des Updates auf die Fehlermeldung zu schauen.

Wenn die Updates nicht für mein System geeignet sind, brauchen sie die auch nicht anbieten.

Gruß,
Jörg
108012
108012 18.10.2017 um 16:51:10 Uhr
Goto Top
Hallo nochmal,

Das werde ich ja irgendwann merken
Klar und warum nicht auf kleine mSATA, SSD oder gar M.2 installieren? Dort kann man auch alles read only machen
und mit RAM disks arbeiten, oder?

Allerdings finde ich es schon komisch, die 2.4 angeboten zu bekommen und dann im Rahmen des Updates auf
die Fehlermeldung zu schauen.
Das war aber auch so angekündigt worden, in Blog unter; pfSense 2.4.0-RC Now Available!

Important Information

A few noteworthy items about running or upgrading to 2.4:
  • 32-bit x86 and NanoBSD have been deprecated and are not supported on 2.4. Hardware capable of running 64-bit
images should be reinstalled with a 64-bit version. NanoBSD installs on 64-bit hardware should be reinstalled as a
full installation.

  • 32-bit x86 hardware can continue to run pfSense software version 2.3.x, which will receive security updates for
at least a year after 2.4.0-RELEASE.

  • To use ZFS, a reinstall of the operating system is required. It is not possible to upgrade in-place from UFS to ZFS
at this time.

  • Wireless interfaces must be created on the Wireless tab under Interfaces > Assignments before they are available
for assignment

  • Firewalls which utilize 6RD for IPv6 WAN connectivity may require further testing to ensure traffic flow and
monitoring are working properly

  • Some hardware devices may not boot 2.4.0 installation images, for example, due to UEFI compatibility changes.
These are primarily BIOS issues and not issues with the installer images. Upgrading in place from 2.3.x typically
allows affected hardware to run version 2.4.

  • To upgrade Firewalls in place which are running pfSense software version 2.2.x or earlier, first upgrade the firewall
to pfSense 2.3.4 and then perform an update to pfSense 2.4.0 afterward. Alternately, reinstall 2.4.0 directly and
restore the configuration.


Upgrading to 2.4.0-RC

This is a pre-release image available by installing directly or by upgrading from development snapshots or current releases.
To control how a firewall obtains updates, visit System > Update on the Update Settings tab:


For users running 2.3.x-RELEASE:

* Stable, which is the default behavior, will upgrade the firewall to 2.4.0-RELEASE when it is complete, but will not upgrade
to 2.4.0-RC

  • Development Snapshots will upgrade the firewall to 2.3.5 development snapshots Next major version will upgrade
the firewall to 2.4.0-RC


Wenn die Updates nicht für mein System geeignet sind, brauchen sie die auch nicht anbieten.
Ob Du 32Bit oder 64Bit Hardware oder als pfSense können die ja nicht wissen, das weißt nur Du selber.

Gruß
Dobby
117471
117471 18.10.2017 aktualisiert um 17:20:37 Uhr
Goto Top
Zitat von @108012:

Klar und warum nicht auf kleine mSATA, SSD oder gar M.2 installieren?

Ganz einfach: Weil es jetzt ein enormer Aufwand ist, die Dinger abzuholen, zu zerlegen und mal eben neu zu installieren und ich schlichtweg nicht so viel Zeit habe.

Ich mache das nicht als Hobby.

Deinen Text habe ich leider nicht verstanden, da ich nicht besonders gut englisch kann.

Insofern beschränke ich mich mal darauf, mich an den Dingen zu erfreuen die ich habe. Und wenn ich „abgehängt“ wurde, dann ist das halt so face-smile

Gruß,
Jörg
the-buccaneer
the-buccaneer 19.10.2017 um 03:11:32 Uhr
Goto Top
@108012:
Hardware ist ein Eigenbau mit Intel D2500CCE oder nen Fujitsu ThinClient S400.

Problem beim Update waren wohl die Packages (Snort, Squid, PfBlocker, ClamAV und div. Kleinkram)
Wenn ich aber das ganze Geraffel deinstallieren und neuinstalliern muss (und konfigurieren) und mir dann noch gesagt wird, dass Packages wie Cron oder Filer raus sind, die mir teils den Arsch gerettet haben als nicht Pinguin, bin ich erstmal raus.
Den HA-Proxy hatte ich auch im Einsatz, da hat der "DoctorNotor" das mal vor 1-2 Jahren auf C-ICAP portiert und sogar etwas supported.

Trotzdem: Dass GAR NICHTS mehr ging (Boot Fehler) nach einem Update und nur kommt: "Uninstall all Packages first" war mir zu wenig...
Daher meine Sympathie für die OPNSense. face-wink

Gruß
Buc
108012
108012 19.10.2017 um 04:09:33 Uhr
Goto Top
Ganz einfach: Weil es jetzt ein enormer Aufwand ist, die Dinger abzuholen, zu zerlegen und mal eben neu zu installieren
und ich schlichtweg nicht so viel Zeit habe.
Ich habe auch nicht unterstellen wollen das nun noch jemand bis zu 600 Geräte einsammelt und umbaut und
dabei noch Freude hat bzw. die zeit überhaupt hat.

Ich mache das nicht als Hobby.
Habe ich ebenfalls nicht unterstellt nur die Zeiten wo man aus jedem alten PC eine richtige Firewall baut
sind eben auch dann vorbei wenn die Entwickler älter werden und Familie haben und ihre Rechnungen
bezahlen müssen. Ist eben so und die Option dass die NanoBSD Version wieder kommt ist ja auch
noch gegeben. Nur die ARM 32Bit weicht auch bald einer ARM 64Bit und dann ist da wohl auch
eher Schluss mit.

Deinen Text habe ich leider nicht verstanden, da ich nicht besonders gut englisch kann.
Na gut ist in der IT Welt eher selten aber dort steht eben genau das die NanoBSD Version
und die 32Bit Version nicht mehr gepflegt werden.

Insofern beschränke ich mich mal darauf, mich an den Dingen zu erfreuen die ich habe.
Gut mag alles sein nur wenn demnächst auch noch die Unterstützung für alle Geräte ohne
AES-NI weg fällt sieht es für ganz viele Leute erst richtig düster aus!

Und wenn ich „abgehängt“ wurde, dann ist das halt so
Naja gut es werden ja nicht alle Installationen bei Dir auf ein und der selben Hardware
basieren oder gar auf 32Bit Systemen, oder?

@108012:
Hardware ist ein Eigenbau mit Intel D2500CCE oder nen Fujitsu ThinClient S400.
Sofern die nicht nur auf Basis von 32Bit Hardware sind ist das mit dem Update ja auch kein Thema,
nur wenn die NanoBSD oder gar auf Basis von 32Bit Hardware bestehen ist eben ab 2.4 Schluss.
und ab 2.5 muss sogar zwingend AES-NI mit an Board sein und man kann sich gut vorstellen was
alle APU1D4 Nutzer dann machen, die gehen auch ganz klar zu Untangle UTM, Sophos UTM oder
Endian Firewall, sicherlich ist OPNSense und IPFire auch noch mit im Spiel aber das muss auch
jeder selber wissen.

Daher meine Sympathie für die OPNSense.
Wirst Du nicht alleine mit sein! Klar wollen die Ihre Hardware verkaufen und na klar ist das allen bewusst
das wenn jeder einfach einen USB Stick in einen alten ausgedienten PC stecken kann und damit eine Firma
absichert man dort aber garantiert auch keine Geräte hin verkauft, nur was ist die Alternative? Jeder zahlt
für die Heiminstallation ~5 € pro Jahr als Spende für einen Code und pro betrieblicher Installation 10 € als
Spende pro Jahr für einen Code (Aktivierung), wie bei MikroTik halt nur jährlich und weniger, aber dafür
kommen halt auch Neuerungen wie DPDK, AES-NI, Intel QAT, fast-fwd immer mit neu rein in den Code.

Ist ja nun nicht so das man davon nicht profitieren würde oder? Und wie sieht es denn mit den Paketen
aus die Du gerade selber angesprochen hast und mit der Selbständigkeit oder einer betrieblichen
Installation wie sie @fa-jka vorher schon angesprochen hat, also in einem Betrieb will und muss
ich mich doch darauf verlassen können das die zur Zeit genutzten Pakete auch wirklich immer
zur Verfügung stehen oder? Und wer schreibt den Code dafür? Klar sind das auch Leute die
irgendwann mal als Jugendlicher oder Heranwachsender damit angefangen haben, aber das
pfSense Team wird seinen Kunden wohl eher kaum erzählen können dass sie alle den
FreeRadius 3.0 Server oder aber pfBlockerNG nicht mehr mit anbieten können weil
der freie Programmierer xyz nun keinen Bock, keine Zeit oder einen Job hat! Das wir
dann wohl eher so laufen dass man für einige Pakete nichts bezahlen muss und sie
von pfSense direkt bzw. selber kommen und für alle anderen werden dann wohl aller
iTunes oder ClearOS bzw. Untangle UTM ein paar Euros fällig, sagen wir mal 3 €
pro Paket, dann kannst Du aber auch sicher sein das die Pakete immer vorhanden
sein werden und man sie weiterentwickelt oder immer wieder die neuen Anwendungen
als Paket für pfSense vorrätig hat, klar ist das für jemanden mit ca. 600 Installationen
der IT Kollaps, nur was ist denn die Alternative frage ich mal locker in die Runde?
pfSense ohne FreeRadius 3.0 oder nur mit einem veralteten Paket der Version 2.0
was auch ja nicht weiterentwickelt wird! Oder kein Squid und SquidGuard oder SARG
oder Snort oder Suricata, bzw ClamAV mit I-Car plugin oder wie auch immer das
heißen mag, dann wird es wohl allen auch wieder nicht schmecken und sie sehen
sich alle schnell nach etwas anderem um!

Und die Version 3.0 wird von Grund auf neu geschrieben, ich würde gerne mal
in die Gesichter einiger Leute schauen wollen wenn sie das erste mal eine pfSense
sehen die alle Prozessorkerne nutzt, HT fähig ist und sich mit einem VPN Provider
verbindet der auch Intel QAT auf seiner Seite einsetzt! Mit multi-Core Benutzung
sieht so eine kleine C2558 oder C2758 oder APU2C4 auf einmal ganz anders aus.

So ich ist schon spät und kleinen Elfen schauen jetzt noch einmal bei www.ab-ins-Bett.de vorbei!
Gute Nacht allen!

Gruß
Dobby